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Vos references pour ce dossier 

(facultatij) 016916 



J NOM ET ADRESSE DU DEMANDEUR OU DU MANDATAIRE 
A QUI LA CORRESPONDANCE DOIT ETRE ADRESSEE 

CABINET BALLOT 
9, rue Claude Chappe 
Metz Te chno poie 
57070 METZ 
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Q NATURE DE LA DEMANDE 



Demande de brevet 



Demande de certificat d'utilite 



n N° attribue par I'lNPI a la telecopie 



Cochez Tune des 4 cases suivantes 



m_ 
□ 



Demande divisionnaire 

Demande de brevel initiate 



□ 

N° 



Date I I I I I I ' * I 
Date I I I I I I I I I 



Transformation d'une demande de 
brevet eu ropeen Demande de brevet initiate 



□ 



Date I i I i I i i i 



Q TITRE DE ^INVENTION (200 caracteres ou espaces maximum) 

Procede et dispositif associe de generation de nombres aleatoires dans un intervalle donne. 



DECLARATION DE PRIORITY 
OU REQUITE DU BENEFICE DE 
LA DATE DE DEPOT D'UNE 
DEMANDE ANT£RIEURE FRANQAISE 



Pays ou organisation 
Date I i I i I i 



Pays ou organisation 
Date I i I i l i 



_1__L 



Pays ou organisation 
Date | i I i I I 



1 I 



DEMANDEUR (Cochez Tune des 2 cases) 


HO Personne morale □ Personne physique 


Nom 

ou denomination sociale 


GEMPLUS 


Prenoms 




Forme juridique 


Soctete Anonvme 


N° SIREN 


J I 1 ■ 1 LJ 1 1 1 : 


Code APE-NAF 


1 , , , 1 


Domicile 
ou 

siege 


Rue 


Avenue du Pic de Bertagne 
Pare d'Activites de GEMENOS 


Code postal et ville 


11 i3 |4|2 1 0 1 GEMENOS 


Pays 


FRANCE 


Nationality 




franchise 


N° de telephone (JacullaliJ) 


N° de telecopie (facultatij) 


Adresse electronique (facultatij) 






HI S'il y a plus d'un demandeur, cochez la case et utihsez I'lmprtme «Suite» 
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REMISE DES PIECES 

date 24 OCT 2003 
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R6serv<§ a TINPI i 



03 12-435 

MANDATAIRE fsilyal&Jj 



N* D* ENREGISTREMENT 
NATIONAL ATTRI8UE PAR L'INPI 



08 54OW/2105O2 



Nom 
Pr£nom 



Cabinet ou Societe 

N °de pouvofr permanent et/ou 
de Hen contractuel 



[ LECLAIRE 
I Jean-Louis 



CABINET BALLOT 



Adresse 



Rue 



Code postal etville 



9, rue Claude Chappe 
Metz Technopole 



Pays 



|5 i7 iQ i7 IQIMPT7 



N° de telephone (facuffalty) 



FRANCE 



N° de tetecopie (facu/tafi/) 



[03.87.74.81.36 



Adresse electronlque (/acu/faisf) 
INVENTEUR (S) 



I 03.87.36.26.76 



Les demandeurs et les inventeurs j I I Ouj 

sont les m§mes personnes 



Les inventeurs sont necessairement des personnes physiques 



Q RAPPORT DE RECHERCHE 



Etablissement immgdiat \\X\ 
ou etablissement differs | ~j 



53 Non : Dans ce cas remplir le formulaire de Designation d'inventeur< S ) 
Uniquement pour une demande de brevet (y compris division et transformation) " 



Paiement Schelonne de la redevance 

{en deuxvene/nentsj 



3 REDUCTION DU TAUX 
DES REDEVANCES 



IB SEQUENCES DE NUCLEOTIDES 
ET/OU DECIDES ArVUNES 



Uniquement pour les personnes physiques effectual ellesmemes leur propre depot" 
EjNon 



Uniquement pour les personnes physiques " * 

□ Requise pour la premise fols pour cette Invention ffi^mmt+m^Ap^j 
LJ Obtenue anterieurement k ce depat pour cette invention une copse de fa 

uectston a'admission a /'assistance grafuite ou sndiguersa r&f&rencej; AG 



Le support flectronique de donnees est joint P} 

La declaration de conformite de la liste de PI 
sequences sur support papier avec le 
support electronique de donnees est jointe 

Si vous avez utilise Pimprime «Suite», 
indiquez le nombre de pages jointes 
3 SIGNATURE DU DEMANDEUR 
OU DU MANDATAIRE 
(Nom et quafite du signataire) 

Jean-Louis LECL/dF}E - 93.4009 

A 



□ Cochez la case si la description contient une liste de sequences 
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Procede et dispositif assocle de generation de nombres aleatoires 

dans un intervalle donne 

L 1 invention concerne un precede d'obtention d'un nombre 
aleatoire compris entre A et B a partir d'un generateur 
produisant des nombres aleatoires compris entre 0 et W-l, 
avec N la taille des nombres produits par le generateur, 
5 W-l la valeur maximale prise par les nombres aleatoires 
produits, avec par exemple W = 2 M , et A, B des nombres 
entiers quelconques, inferieurs ou superieurs au nombre 
W. 

Une telle situation se produit par exemple dans un 
10 composant electronique adapte pour realiser des calculs 
cryptographiques et comprenant un generateur de nombres 
aleatoires ^e N bits, par exemple N = 8. Les nombres 
aleatoires qu'il peut produire -sont ainsi compris entre 0 
et W-l = 255, alors qu'il serait souhaitable de dispose^ 
15 de nombres aleatoires compris par exemple entre 0 et 10Q 
ou entre 300 et 10000, A noter qu'il suffit de determiner 
des nombres entre 0 et 9700 puis d'ajouter ensuite 300 au. 
nombre obtenu pour obtenir finalement un nombre entre 300 
et 10000. 

20 Une telle situation se retrouve dans la pratique dans la 
plupart des applications cryptographiques, par exemple la 
signature DSA, la signature ou le chiffrement d f El Gamal, 
le d^veloppement de cont r erne sure s contre diverses 
attaques, etc. 

25 Plusieurs proced^s sont deja connus pour produire des 
nombres aleatoires R compris entre 0 et K a partir de 
nombres compris entre 0 et W-l. Ces procedes sont en 
g6n£ral mis en oeuvre par des moyens logiciels utilises 
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pour piloter d'une part un generateur hardware qui 
produit des nombres aleatoires de taille N et d- autre 
part des moyens de calcul realisant notamment des 
operations de multiplications, d> additions, etc. 



Un premier precede connu comprend les etapes suivantes : 

a) determiner le plus petit nombre entier p tel que 
K < WP - 1, 

b) produire p nombres aleatoires S 0 , S x Sp . x et 

former la variable S = P J^3 ± * w* 

i=o 

c) si S > k, alors retourner a 1-etape b) , sinon 
poser R = S 

R est le nombre aleatoire recherche, compris entre 0 et 
K. L ' equation S = J% * W 1 est une representation de la 

variable S decomposee / recomposee dans la base (WP-i, 
Wi, W 0). on pourrait egalement noter S = Sp_ lSp _ 2 ...s lS o,' 
notation couramment utilisee. 

Un deuxieme procede connu comprend les etapes suivantes • 

a) determiner le plus petit nombre entier p tel que 
K < WP - 1 , 

b) produire p nombres aleatoires S 0 , S x Sp^ et 

former la variable T = ^S t *W etS = t + Sp.^w^- 1 

c) si S > K, poser R = T, sinon poser R = S. 

Un troisieme procede connu comprend les etapes 
suivantes : 

a) determiner le plus petit nombre entier p tel cue 
K < WP - 1, 
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b) produire p nombres aleatoires So, Si, .... , * S p «! et 

p-i . 

former la variable S = ]T Si * W 

i=o 

c) poser R = S mod(K+l) , c'est-a-dire le reste de la 
division entiere de S par K+l, .egalement appele 

5 reduction modulaire de S par K+l. 

Ces trois proc£des peuvent §tre resumes par les etapes 
suivantes : 

a) produire p nombres aleatoires So, Si, S p -i p 
etant le plus petit nombre entier tel que K < WP - 1 , 

P-i A 

10 et former la variable S = £ Si * W 

i=0 

b) determiner le nombre aleatoire R a partir de la 
variable S. 

Selon le cas, au cours de l 1 etape b, on obtient R a 
partir de S en rep^tant 1 1 etape b (l er proc£de) , en tenant 
15 compte ou non du nombre aleatoire supplement aire S p -i (2^ m * 
procede) ou en effectuant une reduction modulaire (3^ m f 
procede) . 

A noter que, dans les trois procedes, si un nombre 
compris entre A et K+A est souhait<§, il suffit d'ajouter 
20 A au nombre R obtenu compris entre 0 et K. 

Le premier procede a pour principal inconvenient un temps 
de calcul particuli§rement long et surtout imprevisible : 
I 1 etape de production des p nombres aleatoires peut §tre 
repetee de nombreuses fois sans qu'il soit possible de 
25 prevoir au depart le nombre de repetitions de cette 
etape . 

Le 2 dme et le 3 6me proc£d6s ont pour principal inconvenient 
de produire des nombres aleatoires presentant un biais : 
parmi les nombres R produits dans l'intervalle [0, K] , 
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certaines valeurs sont plus probables que. d'autres. Dit 
autrement, les nombres R produits ne sont pas 
parfaitement aleatoires (distribution non uniforme) . Ce 
biais peut avoir des consequences importantes sur la 
securite des systdmes cryptographiques susceptibles de 
mettre en oeuvre ces precedes. La securite des systemes 
cryptographiques suppose en effet que les nombres 
aleatoires qu'ils utilisent soient uniformement 
distribues (ou au moins proches d'une distribution 
uniforme) dans 1 ' intervalle [0, K] ou [A, K+A] souhaite. 

Enfin, les trois proc€des sont globalement lents parce 
qu'ils mettent en ceuvre des operations sur des grands 
nombres, de taille N (au sens nombre de bits) superieure 
a la taille des circuits utilises pour la mise en ceuvre. 
En effet, le nombre K notamment, est quelconque et peut 
§tre superieur a W et done de taille superieure a M. La 
variable S peut egalement litre de grande taille. Or, la 
mise en ceuvre d' operations sur des grands nombres 
necessite la mise en ceuvre de precedes complexes et 
couteux en termes de temps de calcul. 



Un ob jet essentiel de 1' invention est de proposer un 
precede de construction d'un nombre aleatoire R 
particulierement rapide. 

Ainsi, 1' invention propose un precede cryptographique , au 
cours duquel on utilise un generateur de nombres 
aleatoires produisant des nombres aleatoires S± de taille 
N fixee compris entre 0 et W-l, avec par exemple mais non 
necessairement W = 2*, pour produire un nombre aleatoire R 
compris entre 0 et une borne K predefinie. 
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Les <§tapes essentielles d ! un proced6 selon 1 1 invention 
sont les suivantes : 

E31 : on produit une variable aleatoire Si comprise 

entre 0 et W-l, 

5 E32 : si la variable aleatoire Si est stricteraent 

infSrieure a un coefficient Ki de la borne K dans la 
base W, alors le coefficient Ri de rang i du nombre 
aleatoire R est egal a la variable aleatoire Si puis, 
pour tout rang j inferieur & i, on produit une 

10 variable aleatoire Sj entre 0 et W-l et on pose Rj. = 

Sj. 

E3 3 : sinon, si la dite variable aleatoire est 
superieure au coefficient Ki de rang i de la borne K 
dans la base W, alors on determine le dit coefficient 
15 Ri S. partir de la variable aleatoire Si de rang i 

selon une fonction prSdefinie, puis on determine le 
coefficient Ri-i du nombre aleatoire R de rang i-1 
immediatement inferieur en repetant les Stapes E31 a- 
E33 . 

20 

Ainsi, dans un procede selon 1' invention, on recherche un 
a un les coefficients Ri du nombre aleatoire R souhaitS, 
en commen^ant par le coefficient Rp-i le plus 
signif icatif . Le generateur physique de nombres 
25 aleatoires utilises produit ainsi des variables 
aleatoires Si une §l une, une variable a chaque iteration. 

De plus, le procede est rapide car l f etape E33 est 
executee un nombre restreint de fois. En effet, des 
qu f une des variables Si produite par le generateur 
30 physique est inferieure au coefficient Ki associe de la 
borne K, le proced§ ne necessite plus le traitement des 
variables Sj de rang inferieur a i : on calcule ainsi le 
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plus souvent tin nombre restreint de coefficients du 
nombre R, les plus signif icatif s . 

Enfin, par rapport aux procedes connus, un procede selon 
1" invention presente l'avantage de travailler sur des 
nombres de au plus N bits, N etant la taille des 
registres et autres circuits de calculs des dispositifs 
utilises pour la raise en oeuvre. Par exemple, si W est 
egal a 2*, i es coefficients K ± , resultant de la 
decomposition de K dans la base (wp-i, ... w*, W°) , sont 
necessairement inferieurs a W et done de taille au 'plus N 
bits. De meme, les variables aleatoires S± produites par 
le generateur physique de nombres aleatoires sont 
egalement de N bits. 



En ajoutant aux etapes essentielles une etape 

d' initialisation et une etape de recorabinaison du nombre 
aleatoire R, on obtient : 

El : on decompose la borne K dans une base (WP~i, 

W " a W °> {K = ^Ki * W A ou K = KP-ijciRO), i etant un 

i=0 

indice de boucle, K ± 6tant un coefficient de la borne K de 
rang i compris entre 0 et W-l et p etant le degre de la 
borne K, 

E2 : on initialise a VRAI une variable booleenne f, 
E3 : on realise les operation suivantes, dans une 

boucle indicee par i, i gtant un nombre entier variant 

entre p-l et 0 : 

E31 on produit une variable aleatoire Si 

comprise entre 0 et W-l, 

E32 : si la variable aleatoire S ± est strictement 
inferieure au coefficient K A de rang i, alors on met a 
FAUX la variable booleenne f, 
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E33_l : si la variable aleatoire Si est 
strictement superieure au coefficient K± de rang i et 
si la variable booleenne f est VRAI, alors on 
determine le coefficient R± de rang i a partir de la 
5 variable aleatoire S± de rang i selon une fonction 

predef inie, 

E33_2 : sinon, on pose Ri = S± 
E34 : on decreraente 1 1 indice de boucle i, 
E4 : on determine le nonibre aleatoire R par 
10 recombinaison des coefficients aleatoires Ri dans la base 

p-i . 
W (R = E Ri * W 1 ou RP" 1 ^R 1 R°) . 
i=0 

Concretement, des que la variable booleenne f est 
positionn<§e a FAUX, elle reste a cette valeur, puisqu'il 
n'est pas prevu de la repositionner a la valeur VRAI, 
15 sauf lors de 1 » initialisation E2 du precede, L'etape E33 
est execut^e uniquement si la variable f est VRAI ;/ 
ainsi, des que la variable f est positionnee a la valeun 
FAUX, l'etape E33_l n'est plus executee et le procede 
selon l 1 invention se termine rap i dement . > 

20 

Un deuxieme objectif de l 1 invention est de proposer un 
proced£ de construction de nombres aleatoires dont la 
distribution soit uniforme ou puisse etre rendue aussi 
proche que souhaitee d'une distribution uniforme. Cet 
25 objectif est atteint en choisissant une fonction adequate 
pour la determination du coefficient Ri a partir de la 
variable aleatoire Si. 

Selon un premier mode de mise en ceuvre d'un procede selon 
l 1 invention, pour determiner le coefficient Ri de rang i a 
30 partir de la variable aleatoire Si de rang i (etape 
E33__l) , on realise les sous-etapes suivantes : 
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E33_ll: si la variable aleatoire Si est strictement 
superieure au coefficient K± de la borne K, alors 
produit une nouvelle variable aleatoire S ± , 



on 



E33_12 : on repete 1 ' etape E33_ll jusqu'a ce que la 
variable aleatoire S± soit inferieure au coefficient K± de 
la borne K, puis on egalise le coefficient R ± a la 
variable aleatoire S±. 

Dans un tel mode de realisation, tous les coefficients R ± 
obtenus sont des nombres directement produits par le 
generateur hardware de nombres aleatoires, ces 
coefficients sont done parfaits et le nombre R qui en 
resulte est egalement parfait. en d'autres termes, la 
distribution obtenue des nombres R est uni forme dans 
l'intervalle [0, K] . 



Selon un deuxieme mode de mise en oeuvre, au cours de 
1' etape E33, on choisit le coefficient R± de rang i egal a 
une partie de la variable aleatoire S ±l partie inferieure 
au coefficient K ± . La dite partie correspondant dans un 
exemple a un nombre limite de bits de la variable Si. 

Selon un troisieme mode de realisation, au cours de 
1' etape E33, on reduit la variable aleatoire Si modulo 
K i+ 1, le resultat de la reduction etant le coefficient Ri 
cherche . 

Ces deux derniers modes de realisation sont rapides par 
rapport aux procedes connus, essentiellement parce qu'on 
travaille sur des petits nombres. Les distributions de 
nombres aleatoires obtenus ne sont cependant pas 
uniformes : le simple fait de tronquer la variable S± ou 
d'effectuer une reduction modulo K i+ l introduit 
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necessairement un biais. Toutefois, ce biais est moindre 
par rapport aux precedes de 1'art ant^rieur. 

Par ailleurs, il est possible de reduire le biais des 
procedes selon les deuxieme et troisieme modes de 
5 realisation proposes, cotnme on va le voir ci-dessous. 

Dans un procede selon l 1 invention tel que decrit ci- 
dessus, on construit un nombre aleatoire R i-nferieur a K 
a partir de variables Si de taille N produits par .un 
generateur physique parf aitement aleatoire, Le nombre R 
10 obtenu est biais<§, rnais le biais est reduit par rapport a 
un procede connu. 

Pour cela, dans le deuxiStne mode ou le troisieme mode de 
realisation, on construit notamment au cours de 1 1 etape 
E33_l un coefficient Ri < Ki a partir de variables Si de 

15 taille N. Pour reduire le biais introduit sur le 
coefficient R^ , on propose de le construire en utilisant 
les memes etapes El a E3 que pour construire le nombre R./: 
En quelque sorte, on "imbrique" deux procedes similaires . \ 
Ceci permet de reduire encore la taille des nombres sur 

20 lesquels on travaille, et en consequence de reduire 
encore le biais sur les coefficients de R, et sur le 
nombre R final, 

Concretement, pour determiner le coefficient Ri de rang i 
& partir de la variable aleatoire Si de rang i (etape 
25 E33__l) , on execute les §tapes El £ E4 en utilisant une 
base (p^" 1 , P°) comme base de calcul, P €tant un nombre 
entier strictement inferieur a W et q etant le degre de Ki 
dans la base 0. 

L 1 etape E33 est ainsi decomposee en les sous-etapes 
30 suivantes : 
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E33_41 : on decompose le coefficient K± de rang i de la 
borne K dans la base (pq-i, po } ( Ki = g f \ K± h * P j ou 

Ki = (Ki) q _ 1 ...(K i ) 1 (Ki)o) , j etant un indice de boucle, 
(Ki)j etant un nombre compris entre 0 et P~l et q etant un 
degre du coefficient Ki, 

E33_42 : on initialise a VRAI une deuxieme variable 
booleenne g, 

E33_43 : on realise les operation suivantes, dans une 
boucle indicee par j variant entre q-1 et 0: 

E33_431 : on produit une variable aleatoire (Sjjj 

comprise entre 0 et P~l, 

E33_432 : si la variable aleatoire (S±)j est 
strictement inferieure au coefficient (Kjjj, alors on 
met a FAUX la deuxieme variable booleenne g, 



E33_4331 : si la variable aleatoire (Si) 



est 



strictement superieure au coefficient (Ki)j et si la 
deuxieme variable booleenne g est VRAI, alors on 
determine un coefficient (Ri)j a partir de la variable 
aleatoire (Si)j selon une fonction pr^definie, 
E33_4332 : sinon, poser (R t ) j = (Si)-j 
E33_434 : on decremente 1 • indice de boucle j, 

E33_44 : on determine le nombre aleatoire R± par 
recombinaison des coefficients aleatoires (Ri)j dans la 

base p ou R ± - (R±) q -i„. (R ± ) x (R A ) 0 ) . 



Comme on vient de le voir ci-dessus, en "imbriquant" deux 
procedes, on reduit le biais des nombres aleatoires R 
produits par le procede global, tout en conservant un 
procede global rapide. On peut bien stir imaginer 
d"imbriquer» plus de deux procedes, par exemple trois ou 
quatre, en decomposant, dans l'etape E33_43 les nombres 
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dans une base y < p, et en d£composant 1 1 etape E33_43 en 
une succession d'etapes similaires aux etapes E33_41 a 
E33_43 . 

De maniere generale, plus on "imbrique" de procedes, plus 
5 les nombres sur lesquels on travaille sont petits : la 
duree de chaque etape diminue et le biais des nombres 
produits par le procede global diminue Egalement. 



L 1 invention a egalement pour objet un composant 
10 electronique adapte pour la mise en oeuvre d ! un procede 
tel que decrit ci-dessus. Un tel composant comprend 
notararaent un generateur produisant des nombres aleatoires 
de taille N, et des circuits de calcul pour realiser des 
operations sur des nombres de au plus N bits. 

15 Selon le mode de realisation du procede a mettre erir 
oauvre, les circuits de calcul sont adaptes pour realiser;: 
des operations de comparaison de deux nombres, de ; 
troncature de nombre, de reduction modulaire. 

Le generateur de nombres aleatoires et les circuits de 
20 calcul sont pilotes de preference par un moyen logiciel 
memorise dans une memoire du composant prevue a cet 
ef f et - 

L 1 invention concerne egalement une carte & puce 
comprenant un composant electronique tel que decrit ci- 
25 dessus. 
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REVENDICATTOM*; 



1. Precede cryptographique, au cours duquel on utilise 
un generateur de nombres aleatoires produisant des 
nombres aleatoires Sl de taille N fixee compris entre 0 et 
W-l, pour produire un nombre aleatoire R compris entre 0 
et une borne K predefinie, caractSrise en ce que • 



E31 



on produit une variable aleatoire a 4 comprise entre 
0 et W-l, 

E32 : si la variable aleatoire s± est strictement 
xnfSrieure a un coefficient Ki de la borne K dans la base 
W, alors le coefficient RjL de rang i du nombre aleatoire R 
est egal a la variable aleatoire Si puis, pour tout rang j 
xnferzeur a i, on produit une variable aleatoire Sj entre 
0 et W-l et on pose R-j = Sj . 

E33 : sinon, si la dite variable aleatoire est superieure 
au coefficient K± de rang i de la borne K dans la base W 
alors on determine le dit coefficient Ri a partir de la 
variable aleatoire Si de rang i selon une fonction 
predefinie, puis on determine le coefficient R± 1 du 
nombre aleatoire R de rang i-i immediatement inferieur en 
repetant les etapes E31 a E33. 



2. Precede selon la revendication 1, au cours duquel on 
realise les etapes suivantes : 

El : on decompose la borne K dans une base (w°, *i, .„, m) 
sous la forme K = g K± * w 1 , i etant un indice de boucle, 
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REVEN bIC ATTONS 



1. Procede cryptographique, au cours duquel on utilise 
un generateur de nombres aleatoires produisant des 
nombres aleatoires S± de taille N fixee compris entre 0 et 
W-l, pour produire un nombre aleatoire R compris entre 0 
5 et ixne borne K predefinie, caracteris£ en ce que : 

E31 : on produit une variable aleatoire S± comprise entre 
0 et W-l, 

E32 : si la variable aleatoire Si est strictement 
inferieure a un coefficient Ki de la borne K dans la base 
10 W, alors le coefficient Ri de rang i du nombre aleatoire R 
est egal a la variable aleatoire Si puis, pour tout rang j 
inferieur a i, on produit une variable aleatoire Sj entre 
0 et W-l et on pose Rj = S j - . ' 

E33 : sinon, si la dite variable aleatoire est superieur^ 
15 au coefficient Ki de rang i de la borne K dans la base W,f 
alors on determine le dit coefficient Ri k partir de la 
variable aleatoire Si de rang i selon une fonction 
pr6d£finie, puis on determine le coefficient Ri-i du 
nombre aleatoire R de rang i-1 immediatement inferieur en 
20 rep^tant les etapes E31 k E33 . 
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2. Procede selon la revendication 1, au cours duquel on 
realise les etapes suivantes : 

El : on decompose la borne K dans une base (VP" 1 , WP~ 2 , 

p-1 . 

W°) sous la forme K = £ ^ * vr , i etant un indice de 

i=o 
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K± etant un coefficient de la borne K de rang i compris 
entre 0 et W-l et p etant le degre de la borne K, 

E2 : on initialise a VRAI une variable booleenne f , 

E3 : on realise les operation suivantes, dans une boucle 
indicee par i, i etant un nombre entier variant entre p-i 
et 0: 

E31 : on produit une variable aleatoire Si comprise 
entre 0 et W-l, 

E32 : si la variable aleatoire S± est strictement 
inferieure au coefficient Ki de rang i, alors on met a 
FAUX la variable booleenne f, 

E33_l : si la variable aleatoire S± est strictement 
superieure au coefficient Ki de rang i et si la 
variable booleenne f est VRAI, alors on determine le 
coefficient R ± de rang i a partir de la variable 
aleatoire Si de rang i selon une fonction predefinie, 
E33_2 : sinon, on pose R± = Si 
E34 : on decremente la variable de boucle i, 

E4 : on determine le nombre aleatoire R par recombinaison 
des coefficients aleatoires R ± dans la base W selon la 

relation : R = P £ R ± * w 1 . 

i=o 

3. Precede selon la revendication 2, au cours duquel 
pour determiner le coefficient R ± de rang i a partir de la 
variable aleatoire Si de rang i (etapes E33_l et E33_2) , 
on realise les sous -etapes suivantes : 

E33_ii : si la variable aleatoire Si est strictement 
superieure au coefficient K ± de la borne K, alors on 
produit une nouvelle variable aleatoire S if 
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boucle, Ki 6tant un coefficient de la borne K de rang i 
compris entre 0 et W-l et p etant le degre de la borne K, 

E2 : on initialise a VRAI une variable booleenne f , 

E3 : on realise les operation suivantes, dans une boucle 
indicee par i, i 6tant un nombre entier variant entre p-1 
et 0: 

E31 : on produit une variable aleatoire Si comprise 
entre 0 et W-l, 

E32 : si la variable aleatoire S± est strictement 
inferieure au coefficient Ki de rang i, alors on met a 
FAUX la variable booleenne f , 

E33_l : si la variable aleatoire S± est strictement 
superieure au coefficient Ki de rang i et si la 
variable booldenne f est VRAI , alors on determine le 
coefficient Ri de rang i a partir de la variable 
aleatoire Si de rang i selon une fonction predef inie, ■-' 
E33__2 : sinon, on pose Ri = Si 
E34 : on decremente la variable de boucle i, 

E4 : on determine le nombre aleatoire R par recombinaisoii 
des coefficients aleatoires Ri dans la base W selon la 

P-l , 
relation : R = I ^ * r . 

3. Proc^de selon la revendication 2, au cours duquel, 
pour determiner le coefficient Ri de rang i a partir de la 
variable aleatoire Si de rang i (Stapes E33_l et E33_2) , 
on realise les sous-etapes suivantes : 

E33_ll: si la variable aleatoire Si est strictement 
superieure au coefficient Ki de la borne K, alors on 
produit une nouvelle variable aleatoire Si # 
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E33_12 : on repete 1 « etape E33_ll jusqu'a ce que la 

variable aleatoire S ± soit inferieure au coefficient Ki de 

la borne K, puis on egalise le coefficient R A a la 
variable aleatoire Si. 



4. Precede selon la revendication 2, au cours duquel, on 
choisit (etapes E33-1 et 33_2) le coefficient Ri de rang i 
Sgal a une partie de la variable aleatoire S ir partie 
inferieure au coefficient K d , la dite partie correspondant 
par exemple a un nombre limite de bits de la variable S ± . 



5. Procede selon la revendication 2, au cours duquel, au 
pour determiner le coefficient Ri de rang i a partir de la 
variable aleatoire Sj. de' rang i (etape E33) , on reduit la 
variable aleatoire Si modulo K 1+ l, le resultat de la 
reduction €tant le coef f icient. R ± cherche. 
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6. Procede selon l'une des revendi cat ions 1 a 5, 
cours duquel, pour determiner le coefficient R ± de rang i 
a partir de la variable aleatoire Si de rang i (etape 
E33), on execute les etapes El a E4 en utilisant une base 
{P °' P1 P q) comme ba se de calcul, p etant un nombre 
entier strictement inferieur a W et q etant le degre de K 
dans la base p. 



7. Procede selon la revendication 6, dans lequel 1 < etape 
E33 est decomposee en les sous-etapes suivantes : 
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E33_12 : on repete 1 1 etape E33_ll jusqu'a ce que la 
variable al<§atoire Si soit inferieure au coefficient Ki de 
la borne K, puis on £galise le coefficient Ri a la 
variable aleatoire Si. 

5 

4. Proced6 selon la revendi cation 2, au cours duquel, on 
choisit (etapes E33-1 et 33_2) le coefficient Ri de rang i 
egal a une partie de la variable aleatoire Si, partie 
inferieure au coefficient Ki, la dite partie correspondant 
10 par exemple a un nombre limite de bits de la variable Si- 



5. Procede selon la revendication 2, au cours duquel, au 
pour determiner le coefficient Ri de rang i a partir de la 
variable aleatoire Si de rang i (etape E33), on reduit la 
15 variable aleatoire Si modulo Ki+1, le resultat de ISf 
reduction etant le coefficient Ri cherche. 



6. Procede selon l'une des revendications 1 a 5, au 
cours duquel, pour determiner le coefficient Ri de rang i 

20 a partir de la variable aleatoire Si de rang i (etape 
E33), on execute les etapes El k E4 en utilisant une base 
(P^ 1 , P°) comme base de calcul, (3 6tant un nombre 

entier strictement inferieur a W et q etant le degr6 de K 
dans la base p. 

25 

7. Procede selon la revendication 6, dans lequel l 1 etape 
E33 est d£compos6e en les sous-etapes suivantes : 
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E33_41 : on decompose le coefficient K± de rang i de la 

borne K dans la base (po, pi p P) sous la 

_ q-i 

Ki = ? 0 (Ki) 3 * P ' j ^ tant un indice d e boucle, (Ki)-j etant 



un nombre compris entre 0 et p-l et q etant le degre du 
coefficient K±, 

E33_42 : on initialise a VRAI une deuxieme variable 
booleenne g, 

E33_43 : on realise les operation suivantes, dans une 
boucle indicee par j variant entre q-l et 0: 

E33_431 : on produit une variable aleatoire (S±) j 

comprise entre 0 et p, 

E33_432 : si la variable aleatoire (s±) j est 
strictement inferieure au coefficient (Ki) j; alors on 
met a FAUX la deuxieme variable booleenne g, 
E33_4331 : si la variable aleatoire (Si)j est 
strictement superieure au coefficient (Kjjj et si la 
deuxieme variable booleenne g est VRAI, alors on 
determine un coefficient (R ± ) j a partir de la variable 
aleatoire (Si)j selon une fonction prSdefinie, 
E33_4332 : sinon, poser (Rj.)j = (Sjjj 
E33_434 : on decremente 1 ' indice de boucle j, 

E33_44 : on determine le nombre aleatoire R± par 
recombinaison des coefficients aleatoires (Ri), dans la 

9-1 

base p selon la relation : R. = ^(^Oy '* fi } • 



8. Composant electronique comprenant un generateur de 
nombres aleatoires de taille N , des circuits de calcul 
real is ant notamment une comparaison, une troncature et / 
ou une reduction modulaire sur des nombres de au plus N 
bits, et un moyen de pilotage du generateur de nombres 
aleatoires et des circuits de calcul, le dit moyen de 



15 



E33_41 : on decompose le coefficient K± de rang i de la 
borne K dans la base (p^" 1 , p°) sous la forme 

q-l 

Ki = X(%)j * P D / 3 etant un indice de boucle, (K±)j etant 
j=o 

un nombre compris entre 0 et P~l et q etant le degre du 
5 coefficient Ki, 

E33__42 : on initialise k VRAI une deuxieme variable 
booleenne g, 

E33_43 : on realise les operation suivantes , dans une 
boucle indic^e par j variant entre q-l et 0: 
10 E33__431 : on produit une variable aleatoire (Si)j 

comprise entre 0 et P - 1, 

E33_432 : si la variable aleatoire (Si)j est 
strictement inferieure au coefficient (Ki)j, alors on 
met a FAUX la deuxieme variable booleenne g, 

15 E33_4331 : si la variable aleatoire (Si)j est 

strictement superieure au coefficient (Ki)j et si la 
deuxieme variable booleenne g est VRAI, alors on 
determine un coefficient (Ri)j a partir de la variable 
aleatoire (Si)j selon une fonction predefinie, 

20 E33_4332 : sinon, poser (Ri)j = (Si)j 

E33_434 : on decr^mente 1' indice de boucle j , 

E33__44 : on determine le nombre aleatoire Ri par 
recombinaison des coefficients aleatoires (Ri)j dans la 

base P selon la relation : Rj ^^R^j *p J . 

j=o 

25 8 , Composant electronique comprenant un generateur de 
nombres aleatoires de taille N, des circuits de calcul 
r^alisant notamment une comparaison, une troncature et / 
ou une reduction modulaire sur des nombres de au plus N 
bits, et un moyen de pilotage du g6n6rateur de nombres 

30 aleatoires et des circuits de calcul, le dit moyen de 
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pilotage etant adapte pour la mise en ceuvre d'un procede 
selon l'une des revendi cations 1 a 7. 

9. Carte a puce comprenant un composant <§lectronique 
selon la revendication prec^dente. 
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pilotage etant adapte pour la mise en ceuvre d'un procede 
selon l'une des revendi cat ions 1 a 7. 

9. Carte a puce comprenant un composant electronique 
selon la revendication precedente. 
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